HBDI-Bericht 2025: Datenschutzkonformer Einsatz von Microsoft 365 möglich

Veröffentlicht am 23. November 2025 von Simone Winkler

Hintergrund und Ausgangslage

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im November 2022 festgestellt, dass Verantwortliche den Nachweis eines datenschutzkonformen Betriebs von Microsoft 365 (M365) auf Basis des damaligen Microsoft-Vertrags (Datenschutznachtrag vom 15. September 2022, Data Protection Addendum, DPA) nicht führen konnten. Konkret bemängelte die DSK sieben Punkte, in denen der Microsoft-Datenschutznachtrag den Vorgaben von Art. 28 DSGVO für Auftragsverarbeiter nicht entsprach. Microsoft wies diese Kritik jedoch zurück und hielt die Beanstandungen für unbegründet.

Weiterlesen →

Cloud Detection & Response 2025: Warum deutsche Unternehmen Alarmmüdigkeit riskieren

Veröffentlicht am 10. November 2025 von Simone Winkler

Antworten

Der neue „Global Cloud Detection and Response Report 2025“ des US-Sicherheitsunternehmens Illumio zeigt: Trotz steigender Budgets und moderner Technologien kämpfen viele Unternehmen noch immer damit, Angriffe in ihren Cloud-Umgebungen rechtzeitig zu erkennen. Besonders deutsche IT-Abteilungen sind von einer wachsenden „Alarmflut“ betroffen.

Weiterlesen →

Gesundheitsdaten im Arbeitsverhältnis: Was Arbeitgeber wissen dürfen – und was nicht

Veröffentlicht am 17. Oktober 2025 von Simone Winkler

Antworten

Wenn Beschäftigte länger krank sind, müssen Arbeitgeber prüfen, ob weiterhin ein Anspruch auf Lohnfortzahlung besteht. Doch welche Informationen dürfen sie dabei überhaupt einholen? Und wo sind die Grenzen des Datenschutzes?

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat hierzu im Juli 2025 erstmals eine klare Orientierungshilfe veröffentlicht. Sie zeigt auf, wann die Verarbeitung von Gesundheitsdaten zulässig ist – und wann nicht.

Weiterlesen →

EDSA koordiniert EU-weite Durchsetzungsaktion: Transparenzpflichten 2026 im Fokus

Veröffentlicht am 16. Oktober 2025 von Simone Winkler

Antworten

Brüssel, 14. Oktober 2025 – Der Europäische Datenschutzausschuss (EDSA, engl. European Data Protection Board, EDPB) hat in seiner Oktober-Plenarsitzung beschlossen, dass die fünfte koordinierte Durchsetzungsmaßnahme dem Thema Transparenz und Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) gewidmet wird. Konkret sollen Unternehmen EU-weit darauf überprüft werden, wie gut sie ihren Verpflichtungen nach Art. 12, 13 und 14 DSGVO nachkommen – also ob sie betroffene Personen verständlich und vollständig darüber informieren, wenn und wofür personenbezogene Daten verarbeitet werden. Dieses Recht auf Information der Bürgerinnen und Bürger ist ein zentrales Element der Transparenz im Datenschutz und ermöglicht es Menschen, mehr Kontrolle über ihre Daten auszuüben.

Weiterlesen →

Schatten-IT: Versteckte Risiken für Datenschutz und IT-Sicherheit

Veröffentlicht am 11. Oktober 2025 von Simone Winkler

Antworten

Was ist Schatten-IT?

Unter Schatten-IT versteht man alle Hard- und Softwarelösungen, die in einem Unternehmen genutzt werden, ohne dass die IT-Abteilung oder die Geschäftsführung davon weiß oder diese freigegeben hat.

Weiterlesen →

Schadensersatz für Kontrollverlust über Daten – 200 Euro für Datenschutzverstoß

Veröffentlicht am 29. September 2025 von Simone Winkler

Antworten

Am 10. Juli 2025 hat das Oberlandesgericht (OLG) Düsseldorf im Verfahren 16 U 83/24 ein wichtiges Urteil zum immateriellen Schadensersatz nach der DSGVO gefällt. Im Mittelpunkt stand die Frage, ob bereits der Kontrollverlust über personenbezogene Daten einen Anspruch auf Schadensersatz begründen kann. Das Urteil reiht sich in eine Serie richtungsweisender Entscheidungen ein und verdeutlicht die wachsende Bedeutung eines wirksamen Datenschutzmanagements für Unternehmen.

Weiterlesen →

Data Act ab 12. September 2025: Was das EU-Datengesetz für Unternehmen bedeutet

Veröffentlicht am 17. September 2025 von Simone Winkler

Antworten

Seit dem 12. September 2025 gilt in der Europäischen Union der Data Act (auch „EU-Datengesetz“ genannt) in vollem Umfang. Diese neue EU-Datenverordnung (Regulation (EU) 2023/2854) markiert einen bedeutenden Schritt in der europäischen Digitalstrategie und soll den Zugang zu Daten erleichtern, faire Wettbewerbsbedingungen schaffen und die europäische Datenökonomie stärken. Konkret stellt sich für Unternehmen nun die Frage: Was ist der Data Act und welche Verpflichtungen ergeben sich daraus? In diesem Blogartikel geben wir einen umfassenden Überblick und zeigen auf, was Firmen jetzt beachten müssen.

Weiterlesen →

BVwG-Urteil zum „Pay or OK“-Modell: DSGVO-Einwilligung auf dem Prüfstand

Veröffentlicht am 5. September 2025 von Simone Winkler

Antworten

Einführung: Was ist das „Pay or OK“-Modell?

Das „Pay or OK“-Modell (auch Cookie-Paywall oder PUR-Abo-Modell genannt) konfrontiert Nutzer mit einer Wahl: entweder ein kostenpflichtiges Abo abschließen („pay“) oder der umfangreichen Datenverarbeitung zu Werbezwecken zustimmen („ok“). Im konkreten Fall der österreichischen Tageszeitung Der Standard bedeutet dies, dass Leser entweder ein werbefreies Abonnement für ca. 9,90 € pro Monat kaufen müssen oder dem Tracking durch hunderte Drittanbieter zustimmen, um Inhalte gratis zu lesen. Kritiker betonen, dass diese Alternative keine faire Wahl darstellt, da praktisch alle Nutzer die kostenlose, aber datenintensive Option wählen. Studien zeigen etwa, dass über 99 % der Nutzer bei solchen Bannern auf „OK“ klicken, obwohl nur 0,16 % bis 7 % tatsächlich getrackt werden wollen. Damit steht das Modell im Spannungsfeld zwischen digitaler Geschäftsfinanzierung und Datenschutz.

Weiterlesen →

Private E-Mail-Nutzung am Arbeitsplatz: Gilt der Arbeitgeber als Telekommunikationsanbieter?

Veröffentlicht am 3. September 2025 von Simone Winkler

Antworten

Hintergrund

Seit Jahren wird diskutiert, ob Arbeitgeber, die ihren Mitarbeitern die private Nutzung des betrieblichen E-Mail-Accounts gestatten, automatisch als Anbieter von Telekommunikationsdiensten im Sinne des Telekommunikationsgesetzes (TKG) gelten. Die Antwort auf diese Frage entscheidet darüber, ob das Fernmeldegeheimnis Anwendung findet – mit erheblichen Folgen für die Überwachung und Verarbeitung privater Kommunikation.

Weiterlesen →

BGH kippt Vertragsverlängerung mit überlanger Laufzeit in der Telekommunikation

Veröffentlicht am 1. August 2025 von Simone Winkler

Antworten

Der Bundesgerichtshof hat in einem aufsehenerregenden Urteil (Az. III ZR 61/24) vom 10. Juli 2025 klargestellt, dass Vertragsverlängerungen in der Telekommunikationsbranche nicht zu Laufzeiten führen dürfen, die insgesamt mehr als 24 Monate binden. Die Entscheidung sorgt für mehr Verbraucherschutz und stärkt die Position von Kunden gegenüber Telekommunikationsanbietern.

Weiterlesen →

Paragrafenpuzzle

Damit aus all den Paragrafen ein richtiges Bild wird

Gesundheitsdaten im Arbeitsverhältnis: Was Arbeitgeber wissen dürfen – und was nicht

EDSA koordiniert EU-weite Durchsetzungsaktion: Transparenzpflichten 2026 im Fokus

Schatten-IT: Versteckte Risiken für Datenschutz und IT-Sicherheit

Was ist Schatten-IT?

Schadensersatz für Kontrollverlust über Daten – 200 Euro für Datenschutzverstoß

Private E-Mail-Nutzung am Arbeitsplatz: Gilt der Arbeitgeber als Telekommunikationsanbieter?

Hintergrund

BGH kippt Vertragsverlängerung mit überlanger Laufzeit in der Telekommunikation